Récemment, j'ai encore vu des questions sur les prêts flash, alors autant en parler en détail.

En réalité, les prêts flash existent dans la DeFi depuis un certain temps. Aave a lancé ce concept dès 2020, puis d'autres protocoles de prêt l'ont adopté par la suite. Beaucoup ont été attirés au début parce qu'ils brisent les limites de la finance traditionnelle — pas besoin de collatéral, pas de vérification de crédit, on peut emprunter de grosses sommes. Ça paraît très attractif, mais le mécanisme derrière est en fait assez ingénieux.

Pour faire simple, un prêt flash est un prêt sans collatéral réalisé par un contrat intelligent dans une seule transaction sur un même bloc. Vous empruntez de l'argent, et vous devez le rembourser avant la fin de cette transaction, sinon tout le processus sera automatiquement annulé, comme si rien ne s’était passé. Grâce à cette atomicité, le prêteur n’a aucun risque, ce qui permet de prêter sans seuil d’entrée.

C’était à l’origine une fonctionnalité innovante, permettant des arbitrages, la gestion de liquidités, etc. Mais on peut aussi deviner que certains ont commencé à en jouer de manière malveillante.

Ce qui m’a marqué, ce sont les attaques par prêt flash de 2020. Un attaquant emprunte des ETH via un prêt flash sur dYdX, puis répartit cet argent sur Compound et Fulcrum. Sur Fulcrum, il short ETH contre WBTC, tout en achetant massivement du WBTC via Kyber sur Uniswap. Comme la liquidité WBTC sur Uniswap était insuffisante, cette opération a directement fait monter le prix du WBTC. Résultat, Fulcrum a été forcé d’acheter du WBTC à un prix supérieur au marché, et l’attaquant a profité de cette différence pour arbitrer, remboursant son prêt ETH tout en empochant un bénéfice net.

Une autre attaque ciblait le protocole bZX, où l’attaquant a utilisé un prêt flash pour acheter massivement du sUSD sur Kyber, faisant passer le prix stablecoin de 1 dollar à 2 dollars. Comme le contrat intelligent ne regarde que le prix on-chain et ne comprend pas la véritable ancrage des stablecoins, l’attaquant a emprunté plus d’ETH avec un sUSD doublé, puis a pris la fuite. Tout cela s’est produit en une seule transaction dans un bloc.

Face à ces cas, beaucoup s’inquiètent que les prêts flash deviennent une bombe à retardement pour la DeFi. Mais en réalité, des solutions de défense évoluent aussi.

La solution la plus directe est d’utiliser des oracles décentralisés. Plutôt que de faire confiance à un seul DEX pour le prix, on agrége plusieurs sources de données pour obtenir un « vrai prix ». Même si quelqu’un tente de manipuler le prix, l’oracle peut détecter l’anomalie. Une autre approche consiste à augmenter la fréquence de mise à jour des prix, pour que ceux-ci restent toujours à jour, réduisant ainsi la fenêtre d’attaque.

Plus ingénieux encore, il y a la tarification par moyenne pondérée dans le temps (TWAP). Cette méthode utilise la moyenne des prix sur plusieurs blocs plutôt que le prix instantané d’un seul bloc. La manipulation du TWAP devient beaucoup plus coûteuse pour l’attaquant. Certains protocoles exigent même que la transaction s’étale sur deux blocs pour augmenter la difficulté.

Bien sûr, à mesure que les attaques par prêt flash deviennent plus sophistiquées, les mécanismes de défense aussi s’améliorent. Certains protocoles intègrent désormais des outils de détection d’attaques, capables d’identifier rapidement des comportements anormaux.

En fin de compte, la DeFi est encore une écosystème jeune. Les prêts flash ne sont pas en soi un problème, c’est la conception des protocoles qui doit être sécurisée. Chaque attaque pousse l’industrie à progresser. Avec des mesures de protection de plus en plus avancées, ces outils finiront par retrouver leur usage initial — soutenir l’innovation financière, et non devenir la machine à sous des hackers.